Ciberdelincuentes violan seguridad seguridad de empresas en 40 países con malware oculto

El Universal

Redacción

10 de febrero del 2017

A finales de 2016, los expertos de Kaspersky Lab fueron contactados por bancos de la Comunidad de Estados Independientes (CIS por sus siglas en inglés) ya que habían encontrado el software de prueba de penetración Meterpreter, el cual ahora se utiliza con fines maliciosos, en la memoria de sus servidores, en un lugar donde no debería estar.

Kaspersky Lab descubrió que el código de Meterpreter se combinaba con una secuencia de comandos de PowerShell legítimos y otras herramientas. Las herramientas combinadas se habían adaptado a un código malicioso que podía esconderse en la memoria para recopilar las contraseñas de los administradores del sistema de manera invisible.

De esa manera, los ciberatacantes podían controlar los sistemas de sus víctimas en remoto y conseguir su objetivo final: el acceso a los procesos financieros.

Desde esa fecha, Kaspersky Lab ha descubierto que estos ataques se están produciendo a gran escala, ya que afectan a más de 140 redes en una amplia gama de sectores empresariales, con la mayoría de las víctimas situadas en Estados Unidos, Francia, Ecuador, Kenia, Reino Unido y Rusia. En total, se han registrado infecciones en 40 países, entre los que se encuentran Ecuador y Brasil.

Se desconoce quién puede estar detrás de los ataques. El uso de código de explotación de fuente abierta, herramientas comunes de Windows y dominios desconocidos hace casi imposible determinar el grupo responsable, o incluso si es un solo grupo o se trata de varios que comparten las mismas herramientas. Los grupos conocidos que emplean métodos más parecidos son GCMAN y Carbanak.

Tales herramientas también hacen más difícil descubrir los detalles de un ataque. El proceso normal durante la respuesta a incidentes es que el investigador siga las huellas y muestras dejadas en la red por los atacantes.

Y aunque los datos contenidos en un disco duro pueden permanecer disponibles durante un año después de un suceso, los artefactos que se ocultan en la memoria se borrarán después del primer reinicio del equipo. Afortunadamente, en esta ocasión, los expertos llegaron a tiempo.

“La determinación que muestran los atacantes por ocultar su actividad y hacer cada vez más difícil la detección y respuesta a los incidentes, explica la última tendencia en las técnicas antiforenses y del malware basado en la memoria. Es por eso que la investigación forense de la memoria se está convirtiendo en algo esencial para el análisis del malware y sus funciones. En estos incidentes particulares, los atacantes utilizaron todas las técnicas antiforenses concebibles; demostrando así, que no son necesarios los archivos de malware para la exfiltración exitosa de los datos de una red y cómo el uso de herramientas legítimas y de código abierto hace casi imposible atribuir los ataques”, dijo Sergey Golovanov, Investigador Principal de Seguridad en Kaspersky Lab.

Los atacantes aún están activos, por lo cual es importante advertir que la detección estos ataques es posible sólo en RAM, la red y el registro, y que, en tales casos, el uso de reglas Yara basadas en una exploración de archivos maliciosos no da resultado.

Los detalles de la segunda parte de la operación, que muestra cómo los atacantes implementaron tácticas únicas para retirar dinero utilizando cajeros automáticos, serán presentados por Sergey Golovanov e Igor Soumenkov durante la Cumbre Global de Analistas de Seguridad, que se celebrará del 2 al 6 de abril de 2017.

Los productos de Kaspersky Lab detectan con éxito las operaciones utilizando las tácticas, técnicas y procedimientos anteriormente mencionados. Información adicional está disponible en el blog de Securelist.com, Los detalles técnicos, incluidos Indicadores de Compromiso, están disponibles para los clientes de Kaspersky Intelligence Services.

 

Se pierden mil mdd por software pirata

Diario Reforma

Alejandro González

10 de febrero de 2017

El uso de software pirata de empresas en México equivale a pérdidas de alrededor de mil millones de dólares, sólo por detrás de Brasil que registró pérdidas por mil 770 millones de dólares.

De acuerdo con la Encuesta Global de Software 2016 hecha por la Business Software Alliance (BSA), la tasa de software sin licencia que se instala en México es de 52 por ciento.

Sin embargo, Kiyoshi Tsuru, director general de BSA México, dijo en entrevista que las compañías poco a poco han entendido la relación que tiene el usar software sin licencia con los ataques informáticos y por lo tanto la pérdida de información y dinero, lo que ha hecho que las cifras de programas ilegales vaya a disminuir en los próximos años.

“Hay que reconocer lo que están haciendo las autoridades, el Instituto mexicano de la Propiedad Industrial está haciendo campaña de concientización, y en general hay más conciencia. Cada vez más entendemos que la cuestión de la seguridad informática es indispensable para la operación de cualquier negocio y hay una relación directa entre virus y malware con el software ilegal”, explicó Tsuru.

El líder de la organización empresarial, señaló que de 2009 a 2015 se ha reducido de 60 a 52 por ciento la tasa de uso de software sin licencia en México, sin embargo, aún falta más por hacer para evitar las pérdidas.

Explicó que parte de la estrategia de las compañías que venden software para combatir la piratería, es el modelo de negocio a través de comprar los programas bajo demanda, es decir, suscripciones online por el tiempo que el propio usuario requiera.

 

Mexicanos, los más vulnerables en internet

El Diario NTR

Notimex

10 de febrero de 2017

El Índice de Civismo Digital (Digital Civility Index) realizado por Microsoft con motivo del Día Internacional del Internet Seguro (Safer Internet Day), revela que 76 por ciento de los mexicanos se sienten expuestos a riesgos por Internet.

Microsoft informó que este estudio muestra los principales riesgos que corren en línea jóvenes y adultos, divididos en cuatro categorías: comportamiento, intrusión, reputación y sexualidad.

Entre los hallazgos del análisis, destaca que 54 por ciento de los encuestados en México mencionó que el mayor de los riesgos intrusivos en línea que enfrentan es el contacto no deseado, esto a través de redes sociales, correo electrónico u otros medios.

A su vez, la investigación detalla que los riesgos en línea de carácter sexual, como el envío de mensajes con contenido sexual, las solicitudes sexuales y la sextorsión, son la segunda preocupación más grande para los mexicanos con 46 por ciento.

“Con este estudio queremos crear conciencia de las consecuencias reales de los riesgos en línea. Nuestro responsabilidad como empresa es crear servicios en línea donde la gente se sienta segura y tenga una experiencia positiva”, aseguró Jacqueline Beauchere, jefa de Seguridad en Línea de Microsoft.

El estudio fue realizado en junio del año pasado por Microsoft en 14 países entre los que figuran, además de México, Alemania, Australia, Bélgica, Brasil, Chile, Estados Unidos, Francia, India, Reino Unido, Rusia, Sudáfrica y Turquía.

Se realizó a jóvenes (entre 13 y 17 años) y adultos (entre 18 y 74 años), quienes contaron sus experiencias y encuentros en línea.

Otra de las cifras que reveló el índice fue que en México 76 por ciento de los participantes reporta estar expuesto a un riesgo en línea, esto sólo por debajo de Sudáfrica con 78 por ciento. A nivel mundial, el promedio es de 65 por ciento.

Según el Índice de Civismo Digital, México ocupa la posición número 13 con la percepción de ser el menos seguro, por debajo de los demás países participantes.

El Día Internacional del Internet Seguro es un evento que se celebra en febrero de cada año para promover un uso más seguro y más responsable de la tecnología y el Internet, especialmente entre niños y jóvenes de todo el mundo.

“Queremos un Internet más seguro para todas las personas y practicar el civismo digital”, expresó Jacqueline Beauchere.

“Podríamos erradicar la mayoría de la crueldad, bullying y humillación que ocurre en línea si cada observador se convirtiera en un ‘defensor’”, dice Sean Kosofsky, director ejecutivo de la Tyler Clementi Foundation. “Podemos detener el acoso, reportarlo y acercarnos a la persona afectada”.

Reto de civismo digital

1. Comportarse con empatía, compasión y bondad en cada interacción, y tratando a todos con quienes se relacionan en línea con dignidad y respeto.
2. Respetar las diferencias y honrar las opiniones diversas, y cuando surja algún desacuerdo, abordarlo con consideración y evitar palabras ofensivas y ataques personales.
3. Hacer una pausa antes de responder a comentarios con los que la gente no está de acuerdo, y no publicar ni enviar algo que podría lastimar a otros, dañar reputaciones o amenazar la seguridad de las personas.
4. Defenderme a mí mismo y a otros, así como apoyar a quienes son objeto de abuso o crueldad en línea, reportar las actividades que amenacen la seguridad de alguna persona y conservar pruebas de conducta inapropiada o peligrosa.

Fuente: Microsoft

Recomendaciones

+ Comprobar que todos los ajustes de seguridad y privacidad en las cuentas vinculadas al perfil de las redes sociales estén en modo privado.

+ En caso de que el servicio sea violado, o si su la cuenta o la de un amigo sea suplantada, la información que fue privada una vez, de repente podría llegar a ser muy pública

+ En todas las redes sociales se debe crear una contraseña única y fuerte, los sitios y aplicaciones pueden ser hackeados y si se utiliza la misma contraseña para todas las aplicaciones

Sugieren mayor privacidad

La firma de antivirus Sophos recomienda al respecto cuidar la privacidad y los datos personales al usar las redes sociales con mayor adopción en México, que son Facebook, Instagram y Snapchat, de acuerdo con datos de The Competitive Intelligence Unit.

En el caso de Facebook, aconseja mantener las publicaciones, fotos e información biográfica fuera de la vista pública, ya que las que se realicen de ese modo pueden revelar detalles sobre la vida personal, de amigos y la familia, que son una mina de oro para alguien con malas intenciones.

Por ello, cada vez que se haga una actualización en esa red social, se debe elegir el nivel de privacidad en el menú desplegable a la izquierda del botón Post, además de restringir el modo en que se aparece en la línea de búsqueda y quién puede enviar una solicitud de amistad.

Tener cuidado que las únicas personas que puedan agregar, buscar o enviar un mensaje sean conocidas, lo cual se puede controlar esto en la configuración de privacidad, además configurar alertas de inicio de sesión y si se tiene dado el número de móvil, habilitar as aprobaciones de inicio de sesión.

En el caso de Instagram, la firma sugiere no agregar el número de teléfono personal al perfil, de acuerdo con la política de privacidad de dicha red, a pesar de que el número de teléfono se marca como privado, es utilizado por el servicio para ayudarle a ser encontrado en la red.

 

Los ataques ‘invisibles’ del cibercrimen

Excélsior

Aura Hernández

9 de febrero de 2017

La creatividad de los cibercriminales parece no tener límites, ya que se acaba de descubrir un nuevo método de ataque que los hace casi “invisibles”, y que les ha permitido infectar a más de 140 empresas en diferentes industrias, siendo los países más afectados Estados Unidos, Francia, Ecuador, Kenia, Reino Unido y Rusia.

Fue el equipo de Kaspersky Lab el que, casi por casualidad, descubrió este nuevo modelo de ataque a finales del año pasado, ya que recibió una alerta del área de seguridad de los bancos de la Comunidad de Estados Independientes sobre un software encontrado en la memoria de sus servidores, cuando en realidad no debería estar instalado ahí.

De acuerdo con Sergey Golovanov, investigador principal de seguridad en Kaspersky Lab, dicho software se combinaba con otras herramientas legítimas del sistema para adaptarse a un código malicioso que se esconde en la memoria de los dispositivos, sin que fuese detectado.

“La determinación que muestran los atacantes por ocultar su actividad y hacer cada vez más difícil la detección y respuesta a incidentes, explica la última tendencia en las técnicas antiforenses y del malware basado en memoria”, consideró el especialista en su reporte.

Y es que, en un ataque normal, el área de respuesta a incidentes de seguridad puede seguir las huellas y muestras dejadas en la red por los atacantes. Sin embargo, los cibercriminales ya no están enfocando el código malicioso en el disco duro, donde la información puede permanecer hasta un año después del ataque, sino en la memoria donde se borra la información después del primer reinicio del equipo.

Por ello, Golovanov consideró que lograron llegar a tiempo para identificar este caso y observar el método que se utilizó.

EL IMPACTO

Kaspersky Lab indicó que esta infiltración “casi invisible” tiene como objetivo tomar el control de los sistemas de la víctima de forma remota y así acceder a la información financiera clave, como contraseñas.

Y este era sólo el primer paso, ya que la empresa de ciberseguridad encontró que esta campaña tenía una segunda parte, es decir, los piratas informáticos utilizaron la información recabada para diseñar nuevas técnicas que les permitieran retirar dinero de cajeros automáticos.

Golovanov presentará los detalles de dicha operación durante la Cumbre Global de Analistas de Seguridad que se celebrará del 2 al 6 de abril próximos. Sin embargo, ya todas las empresas están advertidas sobre este nuevo modelo de ataque para que se protejan.

Esto último es muy importante, ya que consideran que los atacantes aún están activos y, lamentablemente, no se puede saber si se trata de un solo grupo o varios que usan la misma técnica.

Además, Golovanov y su equipo advierten que este tipo de técnicas se volverán más comunes, sobre todo contra objetivos relevantes como puede ser la industria bancaria y, desgraciadamente, la combinación de herramientas legítimas y otras maliciosas hará más difícil detectarlos.

De hecho, sólo es posible identificar este método si los expertos de seguridad revisan la memoria RAM, la red y el registro de actividades.